Operadores detrás de REvil ransomware-as-a-service (RaaS) escenificado un regreso sorpresa después de una pausa de dos meses después del ataque ampliamente publicitado contra el proveedor de servicios de tecnología Kaseya el 4 de julio.

Dos de los portales de la web oscura, incluida la filtración de Happy Blog y su sitio de pago/negociación, han reaparecido en línea, y la última víctima se agregó el 8 de julio, cinco días antes de que el sitio del 13 de julio se retirara misteriosamente. No está claro de inmediato si REvil está de vuelta en el juego o si han lanzado nuevos ataques.

«Desafortunadamente, Happy Blog está nuevamente en línea», Brett Callow, investigador de amenazas en Emsisoft tuiteó el martes.

El desarrollo se produce poco más de dos meses después de un ataque de ransomware a gran escala en la cadena de suministro de Kaseyu, en el que una banda de ciberdelincuentes rusos cifró alrededor de 60 proveedores de servicios administrados (PYME) y más de 1500 negocios intermedios utilizando vulnerabilidades de día cero en la administración remota de Kaseya. software.VSA.

A fines de mayo, REvil también lideró un ataque contra el productor de carne más grande del mundo, JBS, lo que obligó a la empresa a pagar $ 11 millones en rescate a los extorsionadores para recuperarse del incidente.

Tras los ataques y el aumento del control internacional debido a la crisis mundial del ransomware, el grupo canceló su infraestructura de la dark web, lo que generó especulaciones de que podría suspender temporalmente sus operaciones para cambiar la marca bajo una nueva identidad para atraer menos atención. .

REvil, también conocido como Sodinokibi, emergió como la quinta cepa de ransomware reportada con más frecuencia en el primer trimestre de 2021, y representó el 4,60% de todas las contribuciones trimestrales, según las estadísticas compiladas por Emsisoft.